KIURUVEDEN KAUPUNGIN TIETOTILINPÄÄTÖS 2018

Samankaltaiset tiedostot
Eläketurvakeskuksen tietosuojapolitiikka

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Ulvilan kaupungin tietosuojapolitiikka

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Haminan tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

TIETOSUOJATYÖN ORGANISOINTI

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

1 Tietosuojapolitiikka

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Naantalin kaupungin TIETOTILINPÄÄTÖS VUODELTA Turo Järvinen ja Juha Riekkinen [hyväksyntä KH xxx]

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuojatehtävät. Järvenpään kaupungissa

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Politiikka: Tietosuoja Sivu 1/5

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Teknologia avusteiset palvelutverkostopalaveri

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

TIETOTILINPÄÄTÖS 2018

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Hämeenkyrön kunnan tietotilinpäätös 2018

Informaatiovelvoite ja tietosuojaperiaate

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

GDPR. Timo Kokkonen Webinaari

EU:N TIETOSUOJA-ASETUKSET WALMU

Kaupunginhallitus Liite 2 203

Tietosuojakysely 2019

Kertausta lähtökohtiin liittyen

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

GDPR Tietosuoja-asetus

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Kokemuksia ja näkemyksiä tietosuojaasetuksen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Kolarin kunnan tietosuojapolitiikka

, RAU/475/ /2018

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Laatua ja tehoa toimintaan

Tietoturva- ja tietosuojapolitiikka

Salon kaupunki , 1820/ /2018

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen?

Tietosuoja henkilöstön rekrytoinnissa

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

EU:n tietosuoja-asetus (GDPR)

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

EU:N UUSI TIETOSUOJA- ASETUS

Salon kaupunki / /2018

Tietosuojakysely 2018

Tietosuoja-asetus (GDPR)

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuojaseloste / Yksityisteiden yhteyshenkilörekisteri

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Organisaatioluvan hakeminen

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Salon kaupunki / /2018

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

L1per1 ... Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Salon kaupunki , 1820/ /2018

Tietosuojaseloste / Dynasty 360 dokumentin- ja asianhallinta

TIETOSUOJAPOLITIIKKA

Rekisteri- ja tietosuojaseloste

Helsingin kaupunki Pöytäkirja 16/ (5) Kaupunginhallitus Kj/

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n tietosuoja-asetus

Transkriptio:

KIURUVEDEN KAUPUNGIN TIETOTILINPÄÄTÖS 2018 Laatinut: Tietosuojavastaava Merja Luukkonen ja tietoturvavastaava Anne Koljonen 11.2.2019 Kaupunginhallitus 1.4. 2019 70 Valtuusto 15.4.2019 14

2 KIURUVEDEN KAUPUNGIN TIETOTILINPÄÄTÖS 2018 Hyväksytty: Kaupunginhallitus 1.4.2019 70 1 Tietotilinpäätöksen tarkoitus Kiuruveden kaupungissa... 3 2 Tietoturvallisuuden ja -suojan toteuttaminen... 3 3 Tiedonhallinta, tietovarannot ja tietovirrat... 4 4 Tiedonkäsittelyyn vaikuttava lainsäädäntö ja ohjeistus... 5 5 Rekisteröidyn oikeudet ja niiden toteutuminen... 6 6 Seuranta ja mittaaminen... 7 7 Arviointi ja kehittäminen vuosina 2019-2020... 7

3 1 Tietotilinpäätöksen tarkoitus Kiuruveden kaupungissa Tämä asiakirja on Kiuruveden kaupungin ensimmäinen tietotilinpäätös. Tietotilinpäätöksen tehtävänä on osoittaa, että kaupunki noudattaa vuonna 2018 sovellettavaksi tulleen yleisen tietosuoja-asetuksen GDPR eli General Data Protection Regulation mukaisia toimintatapoja. EU:n yleinen tietosuoja-asetus on tullut sovellettavaksi 25. toukokuuta 2018 alkaen. Asetuksen tavoitteena on luoda EU-kansalaisia koskeva yhtenäinen ja ajanmukainen tietosuojasääntely. Asetus tuo uusia velvoitteita ja sanktioita rekisterinpitäjälle ja vaikuttaa henkilötie tojen käsittelijän tehtäviin sekä tuo lisää oikeuksia rekisteröidylle. Samalla asetus varmistaa, että kansalaisten oikeus henkilötietojen suojaan pysyy voimassa myös digitaaliaikana. Asetuksen rinnalle on tulossa kansallinen tietosuojalaki, joka korvaa nykyisen henkilötietolain. Merkittävimpiä muutoksia ovat rekisterinpitäjän velvollisuus osoittaa toimivansa asetuksen mukaan ja toiminta toteutuu sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita noudattaen. Lisäksi tietosuoja-asetuksen lähtökohtana on riskipohjainen lähestymistapa, jonka mukaan henkilötietojen käsittelyyn liittyvät riskit rekisteröidyn oikeuksille ja vapauksille on arvioitava etukäteen ennen käsittelyn aloittamista. Tietotilinpäätös on raportti, joka syntyy kaupungin sisäisen tarkastelun tuloksena. Se on työkalu ja tietopaketti, joiden avulla Kiuruveden kaupunki osoittaa tiedon osalta tilintekokykyisyytensä, kilpailukykynsä ja vaikuttavuutensa. Tietotilinpäätös on myös osa tietojohtamista, joka nostaa esille tietojen käsittelyyn liittyviä kehittämiskohteita ja antaa kokonaiskuvan Kiuruveden kaupungin tietojen käsittelyn ja tiedonhallinnan nyky tilasta. Tietotilinpäätös toimii sisäisen ja ulkoisen valvonnan apuvälineenä, johdon ja riskienhallinnan strategisena työvälineenä, oppimisen työkaluna ja luottamuksen rakentajana Kiuruveden kaupungin menettelytapoihin tietojenkäsittelyssä ja tiedonhallinnassa. Tietosuoja ja tietoturva on kaupungin yhteinen asia, joka vaatii johdon, henkilöstön, luottamushenkilöiden ja tytäryhtiöiden sitoutumista tietoturva- ja tietosuojatyöhön. Toiminta tullaan jalkauttamaan osaksi normaalia toiminnan kehittämistä ja toimintojen jatkuvaa parantamista. Tässä tietotilinpäätöksessä kuvataan keskeisiä toimenpiteitä, kuinka Kiuruveden kaupunki huolehtii asiakkaiden, henkilöstön ja sidosryhmien henkilötiedoista ja yksityisyydestä. 2 Tietoturvallisuuden ja -suojan toteuttaminen Vuonna 2018 keskeisenä kehitystehtäväkokonaisuutena Kiuruvedellä on ollut EU:n tietosuoja-asetuksen toimeenpano. Tietoturvallisuus on osa kaupungin jokapäiväistä toimintaa. Tietoturvallisuuden tavoitteena on, että se mahdollistaa Kiuruveden kaupungin järjestelmien turvallisen ja häiriöttömän käytön niin asiakkaille kuin kaupungin henkilöstölle. Kiuruveden kaupungin tietoturvallisuus rakentuu henkilöiden toimenpiteistä ja vuorovaikutuksesta, prosesseihin sisäänrakennetusta tietoturvasta, dokumentaatioista, ohjeista ja hallinnasta sekä teknologiasta ja tietoturvaratkaisuista. Näistä osa-alueista muodostuu toisistaan riippuvainen kokonaisuus. Tietoturvallisuuden on vastattava yhä nopeampaan kehitykseen ja monimutkaisiin kokonaisuuksiin.

4 Kiuruveden kaupungin tietoturva- ja tietosuojaorganisaatio on määritelty rooleineen ja vastuineen sisältäen myös henkilöstölle määritellyt tietoturvavastuut. Tietoturvaa mitataan, todennetaan ja kehitetään säännöllisesti. Kuva: Kiuruveden kaupungin tietosuojaa ja tietoturvaa koskevat vastuut tietohallinnossa 3 Tiedonhallinta, tietovarannot ja tietovirrat Kiuruveden kaupungilla on tehtäviensä hoitamiseksi käytössään noin 45 tietojärjestelmää, joissa käsitellään asiakkaista, sidostyhmistä tai omasta henkilökunnasta kertyvää henkilötietoa. Rekisteriin liittyvät tietojärjestelmät määritellään tietosuojaselosteessa. Ne tietokokonaisuudet ja tietovarannot, joita käsitellään tietosuojaselosteessa määritellyllä tavalla, muodostavat rekisterin. Rekisteri on teknologiariippumaton ja se voi käsittää useita tietovarantoja ja myös paperiarkistoja. Kiuruveden kaupungilla on ollut käytössä KuntaToimisto-asianhallintajärjestelmä diaarin, asianhallinnan, kokousjärjestelmän, viranhaltijapäätösten ja julkaisun osalta. Lisäksi on hankittu WebArkki-tiedonohjausjärjestelmä tiedonohjaussuunnitelman (TOS) laadintaan. KuntaToimisto-ohjelmisto päivitetään uuteen versioon, koska arkistolaki, EU:n yleinen tietosuoja-asetus ja kuntalaki edellyttävät julkisen tiedon tuottamiselta ja hallinnalta entistä tarkempaa huolellisuutta tietojen julkaisemisessa sekä salassa pidettävien tietojen suojaamisessa. Uusi selainpohjainen versio mahdollistaa myös sähköisen arkistoinnin tulevaisuudessa. Järjestelmä on toiminnallisuuksiltaan julkishallintoa ohjaavan SÄHKE2- määrityksen mukainen, joka mahdollistaa sähköisen materiaalin keskitetyn hallinnoinnin ja hävittämisen. Uusi ohjelmisto otetaan käyttöön vuosien 2019-2020 aikana.

Kiuruveden kaupunki on siirtymässä käyttämään kuntien yhteistä tehtäväluokitusta ja osana tiedonhallintaa ja tietosuojan toteuttamista kaupungin tiedonohjaussuunnitelma (TOS) pyritään saamaan valmiiksi vuoden 2019 aikana. Kiuruveden kaupunki on yksi arkistonmuodostaja ja tiedonohjaussuunnitelmalla voidaan todentaa sitä, että tietojen säilytysajat on määritelty asianmukaisesti ja että niiden asianmukainen hävittäminen on suunnitelmallista. TOS on asiakirjahallinnan organisoinnin tärkein työväline, joka toimii kaupungin asiankäsittelyn ohjeena ja ohjaa kaupungin tietojen ja asiakirjojen käsittelyä koko elinkaaren ajan. Asiakirjahallinnon (tiedonhallinnan) ja arkistotoimen toimintaohjeistus 7.11.2011 237 kaipaa päivittämistä ja ajan tasalle saattamista. Asiakirjojen suojelussuunnitelma on laadittava toimintaohjeen liitteeksi. Ohjeiston päivittäminen aloitetaan vuoden 2019 aikana. Kiuruveden kaupungin keskusarkisto vaatii järjestämistä, luettelointia ja kuvailuja. Määräajan säilytettävät asiakirjat on seulottava asianmukaisella tavalla pysyvästi säilytettävistä asiakirjoista. Pysyvästi säilytettävät asiakirjat on luetteloitava ja kuvailtava sekä koteloitava pysyvään säilytykseen tarkoitetuilla suojamateriaaleilla. Tarpeettomien asiakirjojen hävittäminen on hoidettava vuosittain siten, että tietosuoja ei vaarannu. Keskusarkiston järjestäminen on aloitettu vuonna 2018 ja työ tulee jatkumaan tulevina vuosina. Kaupungin arkistotyöryhmä on kokoontunut 1.11.2018 alkaen keskimäärin viikoittain kehittämään kaupungin tiedonhallinnan ja arkistotoimen asioita. 5 4 Tiedonkäsittelyyn vaikuttava lainsäädäntö ja ohjeistus Euroopan unionin yleinen tietosuoja-asetus (EU 679/2016) on tullut voimaan toukokuussa 2016 ja sitä sovelletaan kansallisesti 25.5.2018 alkaen. Asetusta sovelletaan henkilötietojen käsittelyyn sekä julkisella että yksityisellä sektorilla. Asetus korvaa vuoden 1995 henkilötietodirektiivin sekä sen kansallisesti täytäntöön panemiseksi annetun henkilötietolain (523/1999). Asetuksen rinnalle säädetään uusi tietosuojalaki. Kiuruveden kaupungin tietoturva- ja tietosuojapolitiikka on hyväksytty kaupunginhallituksessa 11.6.2018 103. Tietoturva- ja tietosuojapolitiikka on Kiuruveden kaupungin ylimmän johdon hyväksymä strateginen asiakirja, joka on kannanotto tietosuojan ja tietoturvan kehittämiseen. Politiikan tavoitteena on luoda yhdenmukaiset toimintaperiaatteet ja käytännöt hyvän tietosuoja- ja tietoturvatason toteuttamiseksi. Politiikassa määritellään kaupungin tietosuoja- ja tietoturvatyön tavoitteet, vastuut, toimintatavat sekä valvonta- ja seurantajärjestelmä. Tietoturva- ja tietosuojapolitiikan liitteenä on ohje henkilötietojen käsittelystä Kiuruveden kaupungilla. Kiuruveden kaupungilla on käytössä tietoturvaan ja tietosuojaan liittyvät prosessit ja lomakkeet: - henkilön salassapito- ja vaitiolositoumus - rekisteritietojen tarkastuspyyntö - rekisteritietojen korjaamis-, poisto- tai täydennyspyyntö - tietosuojan valvontaprosessi lokitiedoista - tietoturvaloukkauksen käsittelyprosessi - tietoturvapoikkeaman ilmoituslomake - kaupungin raportti tietoturvapoikkeamasta - tietoturvapoikkeaman tapahtumapäiväkirja.

6 5 Rekisteröidyn oikeudet ja niiden toteutuminen Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä ja omista oikeuksistaan. Oikeus tulla informoiduksi nivoutuu muihin rekisteröidyn oikeuksiin. Oikeudet toteutetaan Kiuruveden kaupungilla henkilörekistereiden, tietojärjestelmäselosteiden ja tietosuojaselosteiden avulla. Kiuruveden kaupungin kaikki tietojärjestelmä-, henkilötietoja tietosuojaselosteet tullaan saattamaan EU:n yleisen tietosuoja-asetuksen edellyttämälle tasolle. Tällä hetkellä tietopyyntöprosessi on manuaalinen, jolloin tietoja ei voida luovuttaa kuntalaiselle sähköisessä muodossa. Tietopyyntöjen lukumääriä ja niiden vastaamisaikoja seurataan tulevaisuudessa tarkalla tasolla. Keskeisenä tehtävänä on rekisteröityjen oikeuksien vahvistaminen. Kiuruveden kaupunki on kehittänyt poikkeamien hallintamallia vastaamaan tietosuojaasetuksen velvoitteeseen informoida valvovaa viranomaista 72 tunnissa mahdollisen poikkeaman havainnosta sekä rekisteröidylle ilman aiheetonta viivytystä, jos poikkeama aiheuttaa todennäköisesti korkean riskin rekisteröidyn oikeuksille ja vapauksille. Tietoturvapoikkeamien osalta yleisin oli tietojen kalastelu, joka tapahtui sähköpostiviestein ja sillä yritettiin hankkia kalastelun kohteen käyttäjätunnuksia ja salasanoja. Tietoverkossa tapahtuvien ei-toivottujen toimien osalta Kiuruveden kaupungilta edellytetään jatkuvaa varautumista ja menetelmien kehittämistä. Kuva: Rekisteröidyn oikeudet ja niiden toteutuminen Kiuruveden kaupungissa

7 6 Seuranta ja mittaaminen Keskeinen osa tietosuoja-asetuksen edellyttämää organisaation osoittamisvelvollisuutta on, että henkilöstö tietää ja ymmärtää, miten henkilötietoja käsitellään. Tämä edellyttää säännöllisiä tietosuojakoulutuksia. Tavoitteena on, että tietosuojakoulutukset ovat mahdollisimman käytännön läheisiä ja niitä järjestetään säännöllisesti. Tiedonohjaussuunnitelman laadinnassa korostuu myös henkilötietojen käsittelyn osaaminen. Kaupungin henkilöstöllä on ollut velvollisuus allekirjoittaa vaitiolo- ja salassapitositoumus sekä suorittaa hyväksytysti voimassa oleva tietoturva- ja tietosuojakoulutus Arjen tietosuojaa -nettitesti. Nettitestin suorittavat myös kaikki varsinaiset luottamushenkilöt ja Kiurunkulma Oy:n henkilöstö. Nettitestin tueksi on päivitetty tietoturvavastaavan ja tietosuojavastaavan laatima materiaali henkilöstön ja luottamushenkilön tietosuoja- ja tietoturvaperiaatteet. Kiuruvedellä järjestetään uusille palvelussuhteessa aloittaville henkilöille tietoturva- ja tietosuojaperehdytystä. Perehdyttäminen on osa perehdytystyötä esimiehen, alaisen ja tietosuoja- sekä tietoturvavastaavan välillä. Kiuruveden kaupungin johtoryhmä sekä tietosuojavastaava ja Ysit Oy:n edustaja osallistuivat tietoturva- ja tietosuojaloukkausten hallinnan Taisto18 -harjoitukseen 15.11.2018. Pääpaino harjoituksessa oli henkilötietojen tietoturvaloukkauksiin liittyvissä organisaation omien prosessien, ohjeiden ja toimintamallien kehittämisessä. Tietoturva ja tietosuoja on ymmärrettävä osana kaupungin operatiivista toimintaa ja tärkeäksi osaksi henkilöstön osaamispääomaa. 7 Arviointi ja kehittäminen vuosina 2019-2020 Kiuruveden kaupungilla on toistaiseksi vain vähän hyödynnettäviä mittareita tietoturvan ja tietosuojan mittaamiseen. Kaupungin tietoturva- ja tietosuojapolitiikkaan (Khall 11.6.2018 / 103) mittareiksi on kirjattu: - keskeiset tietovarantojen tunnusluvut - tietoturva- ja tietosuojapoikkeamat - tietojärjestelmien käyttökatkot ja niiden vaikutukset - käytönvalvontasuunnitelman toteutuminen - tietoturvan ja tietosuojan omavalvontasuunnitelman toteutuminen - tietosuoja- ja tietoturvarikkomukset - rekisteröityjen informoinnin ajantasaisuus ja tulleet pyynnöt - mahdolliset viranomaisten selvityspyynnöt - lakimuutokset ja niiden jalkautukset - tietosuoja- ja tietoturvakoulutukset - uudet ohjeistukset. Organisaatiokulttuurin kehittäminen tietoturva- ja tietosuojatyöhön sekä tietoisuuden lisääminen ovat sisäisen viestinnän ja henkilökunnan koulutuksen keskeisiä teemoja, jotta tietoturva- ja tietosuoja asettuvat oikein mitoitetuksi Kiuruveden kaupungin päivittäistä arkea ja kaikessa toiminnassa noudatetaan hyvää tiedonhallintatapaa.

Sopimusten päivitysprosessi tulee olemaan Kiuruveden kaupungilla vuoden 2019 urakka. Tietosuoja-asetus edellyttää, että henkilötietojen käsittelystä on sovittava kirjallisesti sopimustoimittajan kanssa. Sellaiset sopimukset, joissa kaupunki on ulkoistanut henkilötietojen käsittelyä sopimustoimittajalle, on päivitettävä vastaamaan asetuksen vaatimuksia. Sopimuksia on myös toisinpäin, jolloin Kiuruvesi tuottaa palvelua toiselle organisaatiolle. Tietosuojan vaikutustenarviointien tekeminen (DPIA Data Protection Impact Assessment) on tietosuoja-asetuksen uusi vaatimus. Tietosuoja-asetuksen mukaisesti rekisterinpitäjän tulee tietyissä tilanteissa tehdä vaikutustenarviointi, joka on osa henkilötietojen käsittelyn riskiperusteista lähestymistapaa ja toisaalta tukee osoitusvelvollisuuden toteutumista. Vaikutustenarviointien osalta tietosuojatyö tulee jatkumaan tulevina vuosina. Henkilötietojen käsittelyssä Kiuruveden kaupunki tulee noudattamaan hyvää tiedonhallintatapaa ja kehittää toimintatapojaan siten, että ne vastaavat EU:n yleisessä tietosuojaasetuksessa annettuja vaatimuksia. Tietotilinpäätöksessään vuosittain kaupunki arvioi ja osoittaa jatkossakin noudattavansa alla kuvattuja periaatteita. 8 Kuva: Henkilötietojen käsittely Kiuruveden kaupungissa

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute